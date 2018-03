David Korteweg houdt zich voor de digitale burgerrechtenorganisatie Bits of Freedom bezig met onder meer de herziening van de Europese privacyregels. Per 25 mei wordt een nieuwe algemene verordening voor databescherming van kracht. Korteweg gaat in op de aanstaande verandering van de privacyregels in de EU die hij vergelijkt met regels in de VS, die veel minder scherp zijn.

Welke privacyregels zijn er nu van toepassing in de EU? "Sinds 1995 hebben we in de EU een richtlijn voor de bescherming van persoonsgegevens. Nederland heeft die richtlijn via de Wet bescherming persoonsgegevens geïmplementeerd. Op basis van deze regels mogen bedrijven en de meeste overheidsorganisaties persoonsgegevens niet verwerken zonder dat daar een juridische grondslag voor is. Toestemming van de gebruiker is daar een belangrijk voorbeeld van."

En hoe zit het in de VS? "In de VS bestaat er niet zo'n algemeen raamwerk. Het hangt van de sector af of er privacyregels zijn. Dat is slechts het geval voor een klein aantal sectoren, de gezondheidssector en kredietratingbureaus bijvoorbeeld. Voor veel sectoren is er op federaal niveau dus eigenlijk niets. Het kan zijn dat er per staat nog wel een en ander geregeld is, maar dat is echt een lappendeken van specifieke regeltjes. Diensten die daar tussen vallen hoeven niet aan die regels te voldoen."

Wie houden er toezicht op die regels en kunnen de toezichthouders ze handhaven? "In de VS heb je een federale autoriteit die toezicht houdt op de consumentenregels. Als consumenten worden misleid, als de informatie in een privacystatement bijvoorbeeld niet klopt, kan die optreden. De ruimere aansprakelijkheidsregels die in de VS gelden kunnen wel een krachtiger effect hebben dan in de EU, maar de regels aan de voorkant zijn te beperkt. De toezichthouder in Nederland, de Autoriteit Persoonsgegevens, is klein. Het is niet mogelijk om achter zo veel verschillende partijen tegelijk aan te gaan. De autoriteit zou daarom meer capaciteit moeten krijgen."

Wat gaat er met de nieuwe privacyregels in de EU veranderen? "Er wordt bijvoorbeeld paal en perk gesteld aan de mogelijkheid voor diensten om je te dwingen toestemming te geven, ook al is dat helemaal niet noodzakelijk om die dienst te verlenen. Neem bijvoorbeeld de app van de NPO. Om daarvan gebruik te maken moest je in een vorige versie toestemming geven om informatie over jouw kijkgedrag te delen met adverteerders en andere partijen waarmee de adverteerders werkten. Anders kon je geen gebruik maken van die dienst. Maar voor het leveren van die dienst was dat helemaal niet noodzakelijk. Je kan onder de nieuwe privacyregels niet meer zomaar die toestemming afdwingen."